对于ACL访问控制在vlan间设置的一些见解

查过许多篇文章以后,很多文章都得出了一个结论:

        在vlan间的acl中当源地址段为应用 vlan接口的ip段时,就是用in方向;

        当目的地址段为应用vlan接口的ip段时,就是用out方向;

这边对这个结论进行一个猜想:

        首先我们需要知道一点点别的知识,这边在这边做一个简单的说明:
        首先我们都知道,TCP/IP体系中存在四层,分别是: 应用层,传输层,网络层,链路层

我们如果要进行一个数据传输的话,数据处于应用层的话,落实在传输上面的话就是从上往下走进行一个数据封装,然后在进行一个对应的传输,然后这个时候当数据包到达预定位置以后,我们的数据报是要进行一个从下往上的解包操作的,这样才能从下往上在应用层拿到数据,所以这边就是一个数据封装与解包的过程。

        好了这个时候我们的前置知识就已经说完了。然后这个时候如果说有两个网段,一个内网一个外网,像这样:

        对于ACL访问控制在vlan间设置的一些见解_第1张图片

 

首先这个in跟out都是相对的,这个不用纠结。

然后这个时候如果说

我在网段1去ping一下网段2的主机,如果没有做任何的访问控制,在正常情况下,这个时候肯定是能通的,那这个时候我如果在网段2的vlan上的in口打了一个acl类似这样的:
permit IP any host 网段2的某一主机

这个时候由于acl访问控制默认拒绝所有,这个意图的话就很明显了,如果有去做实验的话,可以知道这个是ping不通这个host所指定的主机的,那如果将这个acl配置换到out口的话这个时候又是可以的,那这个时候我是不是可以说这个数据包没有进到这个vlan设备中所以不能走通,这个时候,我如果打一个ip any any应该就是可以的,有想法的可以去试试。

好了这边得出猜想,一个数据包走到vlan内部是会进行一个解析的,为了不配置出错,以及预防意外的情况,我们会将这个数据包放进vlan内部让他进行一个解析,然后解析过后这个数据包就要往对应的地方走,那么这个时候我们在vlan的out位置给他来一个限制的话,这个时候不就达到我们想要的效果 了,至于如果说你一定要配置在in口上的也可以,但是你会配置一个IP any any,放行所有,这个时候你觉得会放心嘛。这个范围可是很大的奥,至于配置在in口上要多一个ip any any,笔者认为这边是做了一个数据包解析的作用。

大体解析就是这些。

问题是到了这个vlan内部以后是不是真的会进行一个解包

这边只是笔者的一个猜想,作为一个路由小白,发现要学的东西还有很多,有错的话,还请多多指教。

你可能感兴趣的:(网络,运维)